谷歌在 Android 系统静默安装 SafetyCore 应用引发隐私争议

2025年2月24日，谷歌推出了新的 Android System SafetyCore 应用，适用于 Android 9 及后续版本，引发了隐私保护社区的强烈争议。该应用的主要功能是通过本地机器学习模型 识别和分类 内容，如识别 钓鱼网站 或 欺诈内容，并帮助其他应用程序对相关内容进行检测。

尽管谷歌声明 SafetyCore 不会主动扫描 用户设备的内容，也不会 上传用户数据，但问题在于该应用会通过 Google Play Store 静默安装和自动更新，并且 即便用户主动卸载，它依然会自动重新安装。这种 “静默安装” 的行为引发了用户对于隐私的广泛担忧，尤其是因为这种做法限制了用户对设备的控制权。

目前，SafetyCore 仅使用本地机器学习模型进行扫描，尚未通过网络上传数据。如果未来涉及联网扫描，用户的隐私问题将更加严重，因为文件内容或文件哈希可能会被发送到谷歌服务器。此外，一些分析认为，该应用与谷歌的 内容审核系统（CASM） 可能有所关联，但目前的功能描述显示它与谷歌的内容审查无关。

对于隐私敏感的用户，可以通过 ADB 禁用 SafetyCore，以避免其在设备上的自动安装和更新。尽管谷歌的声明表示其不收集用户数据，但 静默安装 的行为仍然引发了隐私领域的广泛质疑。

谷歌需在 隐私和安全之间 寻找平衡，避免引发更多用户的隐私疑虑。

XCSSET 恶意软件变种再现，针对 macOS 开发者和用户

2025年2月17日，微软威胁情报团队发现 XCSSET macOS 恶意软件新变种，这是自 2022 年以来首次检测到的升级版本。XCSSET 主要通过 感染 Xcode 项目 传播，影响 macOS 开发者和普通用户。新版本采用 更复杂的代码混淆技术、改进的持久性机制，并引入 新的感染策略，增加了检测和防御难度。

主要发现
• 代码混淆升级：利用 Base64 和 xxd 编码，使恶意代码更难分析。
• 增强持久化：通过 修改 zshrc 文件 和 Dock 劫持 技术，确保恶意软件在设备重启后仍能执行。
• 扩展感染方式：利用 Xcode 目标设置 植入恶意代码，扩大传播范围。

潜在威胁
• 窃取敏感数据：包括 数字钱包、浏览器凭证、聊天记录、笔记应用数据 等。
• 远程控制和数据泄露：攻击者可 获取 IP 地址、文件、屏幕截图，进一步实施攻击。
• 勒索软件功能：具备 文件加密和勒索信息显示，可能造成数据丢失和经济损失。
• 难以检测和防御：利用 高级混淆和新型持久性机制 规避安全软件检测。

防范建议
• 检查 Xcode 项目：避免使用 非官方存储库 的代码。
• 定期更新系统和软件：修复 macOS 及相关应用漏洞，减少风险。
• 使用安全工具：安装 可靠的防病毒和安全软件 进行监控和检测。
• 避免下载未知应用：仅从 官方 App Store 或可信来源 获取软件。
• 监控可疑行为：关注 系统异常、未授权网络连接，及早发现安全风险。

微软警告称，XCSSET 仍然 对 macOS 用户构成重大安全威胁，开发者和普通用户应 提高警惕，采取必要防护措施，避免成为攻击目标。

参考链接 [1]

Mars Hydro 物联网数据库泄露：27 亿条用户数据暴露，涉及 Wi-Fi 密码、设备 ID 和 API 凭据

中国物联网设备制造商 Mars Hydro 旗下数据库因安全配置错误，导致全球用户数据泄露，涉及 27 亿条记录，总大小达 1.17TB。安全研究员 Jeremiah Fowler 发现，该数据库 未受密码保护或加密，其中包含 Wi-Fi SSID（网络名称）、密码、设备 ID、IP 地址及 API 详细信息，甚至可用于远程控制设备。

本次数据泄露涉及 LG-LED SOLUTIONS LIMITED，该公司在美国加州注册，并运营 Mars Hydro 和 Spider Farmer 等智能生长灯品牌，设备遍布全球。研究人员指出，错误日志中包含用户设备信息，暴露了 智能手机操作系统、App 版本、授权令牌 等敏感数据。这些数据若被恶意利用，可能会导致 用户网络遭入侵、物联网设备被远程控制，甚至用于更高级的网络攻击，如 中间人攻击（MITM） 或 DDoS 攻击。

在收到安全通知后，Mars Hydro 已在数小时内封锁数据库访问，但未对此次泄露发表公开声明。研究人员向该公司客户支持团队求证，确认 Mars Pro App 属于官方产品，但仍不清楚数据库是由 Mars Hydro 直接运营，还是通过第三方承包商管理。此外，目前尚无法确定数据库暴露的时间以及是否有其他黑客或第三方访问过这些数据。

物联网安全问题日益严峻，此前 Palo Alto Networks 研究显示，57% 的 IoT 设备存在严重漏洞，98% 的数据未加密传输，使其极易成为攻击目标。本次泄露事件再次暴露了物联网产品 缺乏长期安全维护、数据存储管理不当 等问题。专家建议受影响用户：
• 立即更改 Wi-Fi 密码，并避免使用默认设备密码；
• 检查路由器日志，监测是否有异常设备连接；
• 在网络设备上启用 WPA3 加密，提高安全性；
• 定期更新固件，避免使用未受支持的 IoT 设备。

尽管 Mars Hydro 迅速封锁了数据库，但此类泄露事件暴露出的安全隐患仍值得行业警惕。IoT 设备厂商应加强数据加密措施，避免存储敏感信息，并定期进行安全审计，以降低用户数据遭窃取的风险。

另外有意思的是根据 Google Play 和 Apple App Store 上的 Mars Hydro 数据隐私声明，该应用程序不收集用户数据。💀💀💀

参考链接 [1]

iOS和macOS曝关键漏洞，可能绕过TCC框架

2024年12月16日，苹果的iOS和macOS系统被曝出一个严重漏洞（CVE-2024-44131），该漏洞可能绕过透明度、同意和控制（TCC）框架，导致敏感信息未经授权被访问。TCC框架是苹果设备的核心安全功能，负责用户对应用程序访问敏感数据的授权。

漏洞位于文件提供组件中，具体表现为恶意应用可在后台通过符号链接劫持文件移动或复制操作，从而访问包括健康数据、GPS位置、麦克风、摄像头等敏感信息。该攻击能够绕过TCC框架，且在过程中不会触发任何提示，极大地削弱了设备的安全性。

该漏洞被Jamf Threat Labs发现并报告，指出攻击者通过利用文件管理组件fileproviderd的高权限，能够在不被用户察觉的情况下，将数据上传到远程服务器。尽管苹果已经在iOS 18、iPadOS 18和macOS Sequoia 15中通过增强符号链接验证修复了此问题，但漏洞的严重性引发了对系统访问控制和用户隐私的广泛关注。

此外，苹果还发布了其他安全更新，修复了WebKit、音频逻辑漏洞等问题，并加强了Safari浏览器的隐私保护，防止网站通过私人中继获取原始IP地址。

警方秘密植入间谍软件监控活动人士，引发国际关注

12月16日，国际TS组织发布报告《数字监狱：塞尔维亚对公民社会的监视和压制》，揭露塞尔维亚警方和情报部门使用Cellebrite取证工具及NoviSpy间谍软件对记者和活动人士实施监控。报告指出，NoviSpy可远程激活目标设备的麦克风和摄像头，而Cellebrite工具被用以解锁设备并提取数据。

调查显示，塞尔维亚当局通过审讯期间秘密感染设备，侵犯目标隐私，压制言论自由。国际TS组织呼吁塞尔维亚政府停止滥用间谍软件，并为受害者提供赔偿，同时强调Cellebrite工具潜在的滥用风险。此次事件揭示了先进监控技术对公民自由和隐私的威胁，再次引发国际社会对政府数字监控行为的关注。

目前准备开发一个小项目

大概软件想设计成一个隐私保护助手

软件获取安卓设备管理员（无需root） 可以进行一些数据清除操作

我目前构思了两种功能
1.指定短信内容发送到手机上后自动执行恢复出厂设置
2.设备长期未打开自动执行清除操作

剩下的我还没想好还能加入什么功能

目前只能在android设备使用

欢迎大家提供新的构思

暗网情报三则：涉美军基地、政府邮箱权限及国内手机厂数据泄露

12月12日监测发现三起重大暗网出售事件：

1. 美军空军基地防火墙权限
   美军空军某基地防火墙Root访问权限以800美元出售，可能导致军事系统严重安全威胁。

2. 多国政府与警察系统邮箱权限
   涉及泰国皇家警察、意大利内政部等多个国家的政府和警察邮箱账户，售价从15美元到250美元不等，有些账户还附带数字签名，存在伪造文件的潜在风险。

3. 国内某智能手机厂商泰国工厂数据泄露
   黑客声称窃取了165GB数据，包括2200万条客户记录、员工信息及内部系统细节，售价2万美元。

俄罗斯再演练“主权互联网” 多地区断网近24小时

12月11日，俄罗斯进行了新一轮“主权互联网”测试，导致多个地区互联网中断近24小时。本次测试主要影响了车臣、达吉斯坦和印古什等少数民族聚居地区，用户无法访问包括YouTube、谷歌、WhatsApp和Telegram在内的国内外服务，甚至通过VPN也无法绕过限制。

俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次演习旨在测试基础设施在遭遇外部干扰时的稳定性，并确保国内关键服务的运行。分析认为，选定少数民族地区测试，可能是为了在社会动荡时快速限制对特定应用的访问。

俄罗斯多年来致力于打造“Runet”独立网络，并加速与全球互联网技术脱钩。今年9月，克里姆林宫投入巨资加强技术能力，限制流量并屏蔽西方平台。近期，俄罗斯还威胁封锁包括AWS和GoDaddy在内的多家外国托管服务商，进一步加强网络控制。这些措施表明俄罗斯正逐步迈向更严格的网络审查和技术独立。

美国制裁中国网络安全公司及员工 涉嫌2020年网络攻击

12月10日，美国财政部宣布对一家位于四川的中国网络安全公司及其员工实施制裁，指控其参与2020年4月针对全球防火墙的网络攻击。攻击利用零日漏洞传播恶意软件，影响了超23,000个防火墙设备，其中包括美国36家关键基础设施企业的系统。

制裁内容包括冻结该公司及员工在美财产，并禁止任何与其相关的交易。美国国务院还悬赏1000万美元，征集相关信息。此外，该员工可能面临美国司法部的起诉。

美国政府表示，这次攻击曾试图通过勒索软件进一步加剧影响，若未及时修补漏洞，可能造成严重后果，包括设备故障和人员伤亡。

此次制裁旨在打击威胁关键基础设施的网络行为，并警告相关组织和个人对美国网络安全构成的潜在风险。

参考资源 [1]

下载地址 https://paste.fo/raw/380012d039a7